CN104579694A - 一种身份认证方法及系统 - Google Patents
一种身份认证方法及系统 Download PDFInfo
- Publication number
- CN104579694A CN104579694A CN201510067587.2A CN201510067587A CN104579694A CN 104579694 A CN104579694 A CN 104579694A CN 201510067587 A CN201510067587 A CN 201510067587A CN 104579694 A CN104579694 A CN 104579694A
- Authority
- CN
- China
- Prior art keywords
- client
- server
- key
- random number
- parameter set
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种身份认证方法及系统,该方法包括:服务器与客户端交换固定身份标识信息、密钥表及动态身份函数;服务器向客户端发送第一随机数,接收客户端发送的第一响应信息与第二随机数;计算以第一随机数、第一动态身份信息及客户端固定身份标识信息为原文的哈希值与第一响应信息比较,如相同,则通过认证;计算第二响应信息发送给客户端,以使客户端计算以第二随机数、第二动态身份信息及服务器固定身份标识信息为原文的哈希值与第二响应信息比较,如相同,则通过认证。动态身份信息灵活可变,可防止信息泄露,增加了口令破译难度,提高身份验证安全性。此外,该方法还包括密钥协商、心跳认证、密钥表更新,保证通信安全和身份周期性认证。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种身份认证方法及系统。
背景技术
网络和通信技术的蓬勃发展,潜移默化地影响着人们的生活、生产。近年来,越来越多的黑客攻击、大型网站账号密码泄露等信息安全事件的发生,使得信息安全成为关注的焦点。身份认证机制作为信息系统的首道关卡,通过确认访问网络的通信实体的身份,防止非法的外部入侵,保证系统安全、有序的运行。身份认证的本质是利用身份特征的唯一性,即被认证方的身份特征,除被认证方自己外,任何第三方(某些认证权威机构除外)均不能伪造,使认证方确信只有被认证方才具有此身份特征。、
现有的身份认证协议大多基于挑战/响应原理演变而来,例如CHAP(Challenge Handshake Authentication Protocol,询问握手认证协议)、SRP(Space Reuse Protocol,安全远程密码协议)、CRAM-MD5(Challenge-Response Authentication Mechanism Message-Digest Algorithm 5,挑战响应认证机制-信息摘要算法5)等。但是,这些方法至少存在以下一些问题:服务器和客户端之间为单向认证,不能抵抗服务器伪造攻击;认证过程的计算操作复杂,对认证设备的运算能力要求高,如SRP协议的实现涉及幂运算;另外,一些身份认证协议只在正常通信之前实现身份认证,没有在正常数据交互阶段定期的对通信实体的身份进行再确认,维持通信实体身份的可持续有效;认证数据以明文的形式传输,不能保证数据传输安全;在需要会话密钥加密数据的场合,密钥的产生常常需要第三方可信机构的支持,不方便实现。
发明内容
有鉴于此,本发明提供一种身份认证方法及系统,实现身份认证、随机会话密钥协商、心跳认证的功能,以解决现有技术中存在的问题。
为解决上述问题,本发明提供的技术方案如下:
一种身份认证方法,服务器接收客户端发送的客户端固定身份标识信息,并向所述客户端发送服务器固定身份标识信息、密钥表以及动态身份函数,所述方法包括:
所述服务器向所述客户端发送第一随机数,以使所述客户端确定第一动态身份信息,将以所述第一随机数、所述第一动态身份信息以及所述客户端固定身份标识信息为原文计算得到的哈希值作为第一响应信息与第二随机数一起发送给所述服务器;所述服务器确定第一动态身份信息,计算以所述第一随机数、所述第一动态身份信息以及所述客户端固定身份标识信息为原文的哈希值与所述第一响应信息进行比较,如果相同,则通过对所述客户端的认证,如果不同,则认证失败;所述第一动态身份信息是利用所述第一随机数、所述密钥表以及所述动态身份函数确定的;
所述服务器在通过对所述客户端的认证后,确定第二动态身份信息,计算以所述第二随机数、所述第二动态身份信息以及所述服务器固定身份标识信息为原文的哈希值作为第二响应信息发送给所述客户端,以使所述客户端确定第二动态身份信息,计算以所述第二随机数、所述第二动态身份信息以及所述服务器固定身份标识信息为原文的哈希值与所述第二响应信息进行比较,如果相同,则通过对所述服务器的认证,如果不同,则认证失败;所述第二动态身份信息是利用所述第二随机数、所述密钥表以及所述动态身份函数确定的。
相应的,所述方法还包括:
所述服务器生成服务器第一密钥序列参数集发送给所述客户端,并接收所述客户端生成的客户端第一密钥序列参数集,以使所述客户端根据所述服务器第一密钥序列参数集以及所述客户端第一密钥序列参数集确定会话密钥;
所述服务器根据所述服务器第一密钥序列参数集以及所述客户端第一密钥序列参数集确定会话密钥;
所述根据所述服务器第一密钥序列参数集以及所述客户端第一密钥序列参数集确定会话密钥,包括:
将所述服务器第一密钥序列参数集中的元素分别关于所述密钥表的总行数取余,得到服务器第二密钥序列参数集;将所述客户端第一密钥序列参数集中的元素分别关于所述密钥表的总列数取余,得到客户端第二密钥序列参数集;
将所述服务器第二密钥序列参数集中的元素对应所述密钥表的行,将所述客户端第二密钥序列参数集中的元素对应所述密钥表中的列,按照所述服务器第二密钥序列参数集中的元素顺序以及所述客户端第二密钥序列参数集中的元素顺序,查找所述密钥表中对应的行列交叉点的元素组成会话密钥。
相应的,所述方法还包括:
所述服务器接收所述客户端在通过对所述服务器的认证后保存并发送的秘密值,并保存所述秘密值;
每隔第一预设时间,所述服务器将所述秘密值加一作为心跳认证值发送给所述客户端,以使所述客户端将保存的所述秘密值加一后与所述心跳认证值进行比较,如果相同,则将以所述心跳认证值以及所述服务器固定身份标识信息为原文计算得到的哈希值作为第三响应信息发送给所述服务器,并将所述心跳认证值替换为所述秘密值,如果不同,则心跳认证失败,断开连接;
所述服务器计算以所述心跳认证值以及所述服务器固定身份标识信息为原文的哈希值与所述第三响应信息进行比较,如果相同,则将所述心跳认证值替换为所述秘密值,如果不同,则心跳认证失败,断开连接。
相应的,所述方法还包括:
每隔第二预设时间,所述服务器根据第三随机数更新密钥表;
所述服务器向所述客户端发送包括第三随机数的密钥表更新命令,以使所述客户端根据第三随机数更新密钥表,并向所述服务器发送密钥表更新成功信息。
相应的,所述方法还包括:
所述服务器建立客户端认证白名单;
所述服务器向所述客户端发送第一随机数,包括:
所述服务器主动向所述客户端发送第一随机数;
或者,所述服务器接收客户端的认证请求,判断所述客户端是否属于客户端认证白名单,如果是,向所述客户端发送第一随机数。
相应的,所述第一随机数、所述第一响应信息、所述第二随机数、所述第二响应信息、所述服务器第一密钥序列参数集以及所述客户端第一密钥序列参数集以初始密钥进行加密后进行传输;
所述秘密值、所述心跳认证值、所述第三响应信息、密钥表更新命令以及所述服务器与所述客户端之间的通信报文以所述会话密钥进行加密后进行传输。
一种身份认证系统,所述系统包括:
服务器以及客户端;
所述服务器用于向所述客户端发送服务器固定身份标识信息、密钥表以及动态身份函数;向所述客户端发送第一随机数;确定第一动态身份信息,计算以所述第一随机数、所述第一动态身份信息以及所述客户端固定身份标识信息为原文的哈希值与所述第一响应信息进行比较,如果相同,则通过对所述客户端的认证,如果不同,则认证失败;所述第一动态身份信息是利用所述第一随机数、所述密钥表以及所述动态身份函数确定的;在通过对所述客户端的认证后,确定第二动态身份信息,计算以所述第二随机数、所述第二动态身份信息以及所述服务器固定身份标识信息为原文的哈希值作为第二响应信息发送给所述客户端;所述第二动态身份信息是利用所述第二随机数、所述密钥表以及所述动态身份函数确定的;
所述客户端用于向所述服务器发送客户端固定身份标识信息;确定第一动态身份信息,将以所述第一随机数、所述第一动态身份信息以及所述客户端固定身份标识信息为原文计算得到的哈希值作为第一响应信息与第二随机数一起发送给所述服务器;所述第一动态身份信息是利用所述第一随机数、所述密钥表以及所述动态身份函数确定的;确定第二动态身份信息,计算以所述第二随机数、所述第二动态身份信息以及所述服务器固定身份标识信息为原文的哈希值与所述第二响应信息进行比较,如果相同,则通过对所述服务器的认证,如果不同,则认证失败;所述第二动态身份信息是利用所述第二随机数、所述密钥表以及所述动态身份函数确定的。
相应的,所述服务器还用于:
生成服务器第一密钥序列参数集发送给所述客户端,并接收所述客户端生成的客户端第一密钥序列参数集,根据所述服务器第一密钥序列参数集以及所述客户端第一密钥序列参数集确定会话密钥;
所述客户端还用于:
生成客户端第一密钥序列参数集发送给所述服务器,并接收所述服务器生成的服务器第一密钥序列参数集,根据所述服务器第一密钥序列参数集以及所述客户端第一密钥序列参数集确定会话密钥;
所述根据所述服务器第一密钥序列参数集以及所述客户端第一密钥序列参数集确定会话密钥,包括:
将所述服务器第一密钥序列参数集中的元素分别关于所述密钥表的总行数取余,得到服务器第二密钥序列参数集;将所述客户端第一密钥序列参数集中的元素分别关于所述密钥表的总列数取余,得到客户端第二密钥序列参数集;
将所述服务器第二密钥序列参数集中的元素对应所述密钥表的行,将所述客户端第二密钥序列参数集中的元素对应所述密钥表中的列,按照所述服务器第二密钥序列参数集中的元素顺序以及所述客户端第二密钥序列参数集中的元素顺序,查找所述密钥表中对应的行列交叉点的元素组成会话密钥。
相应的,所述服务器还用于:
接收所述客户端在通过对所述服务器的认证后保存并发送的秘密值,并保存所述秘密值;每隔第一预设时间,将所述秘密值加一作为心跳认证值发送给所述客户端;计算以所述心跳认证值以及所述服务器固定身份标识信息为原文的哈希值与第三响应信息进行比较,如果相同,则将所述心跳认证值替换为所述秘密值,如果不同,则心跳认证失败,断开连接;
所述客户端还用于:
在通过对所述服务器的认证后向所述服务器发送秘密值,并保存所述秘密值;将保存的所述秘密值加一后与所述心跳认证值进行比较,如果相同,则将以所述心跳认证值以及所述服务器固定身份标识信息为原文计算得到的哈希值作为第三响应信息发送给所述服务器,并将所述心跳认证值替换为所述秘密值,如果不同,则心跳认证失败,断开连接。
相应的,所述服务器还用于:
每隔第二预设时间,根据第三随机数更新密钥表;向所述客户端发送包括第三随机数的密钥表更新命令;
所述客户端还用于:
根据第三随机数更新密钥表,并向所述服务器发送密钥表更新成功信息。
相应的,所述服务器还用于:
建立客户端认证白名单;
所述服务器向所述客户端发送第一随机数,包括:
所述服务器主动向所述客户端发送第一随机数;
或者,所述服务器接收客户端的认证请求,判断所述客户端是否属于客户端认证白名单,如果是,向所述客户端发送第一随机数。
相应的,所述第一随机数、所述第一响应信息、所述第二随机数、所述第二响应信息、所述服务器第一密钥序列参数集以及所述客户端第一密钥序列参数集以初始密钥进行加密后进行传输;
所述秘密值、所述心跳认证值、所述第三响应信息、密钥表更新命令以及所述服务器与所述客户端之间的通信报文以所述会话密钥进行加密后进行传输。
由此可见,本发明实施例具有如下有益效果:
本发明实施例提供的身份认证方法,由服务器完成对客户端的身份认证同时客户端也对服务器进行身份认证,网络通信设备间双向身份认证有效抵御数据篡改、中间人攻击、服务器伪造攻击等;同时,根据随机数、动态身份信息以及固定身份标识信息三种因子,判断并动态验证通信实体身份,可以充分确定通信实体身份的真实性,且只涉及简单的加乘运算,对设备运算能力要求低;认证结束时,对密钥进行更新,区分认证过程和正常数据交互过程所使用的密钥,提高安全性;另外,具有随机会话密钥协商、心跳认证功能,根据共享密钥表协商会话密钥,不依赖于第三方可信机构的参与,实现简单方便,且密钥具有动态性、新鲜性、前向保密性的特征,心跳认证确保了数据交互过程中通信实体身份有效的可靠性,保证会话安全。
附图说明
图1为本发明实施例中提供的身份认证方法实施例的应用场景示意图;
图2为本发明实施例中提供的身份认证方法实施例的应用场景示意图;
图3为本发明实施例中提供的身份认证方法实施例一的流程图;
图4为本发明实施例中提供的身份认证方法实施例二的流程图;
图5为本发明实施例中提供的身份认证方法实施例三的流程图;
图6为本发明实施例中提供的身份认证系统实施例的示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明实施例作进一步详细的说明。
本发明实施例中提供的身份认证方法及系统,是针对现有技术中存在的问题,提出一种基于多因子动态口令和随机密钥协商的双向身份认证方法,以随机数、动态身份信息以及固定身份标识信息组合为原文计算得到的哈希值作为动态口令,通过校验该动态口令来验证通信对方的身份。在进行身份认证的同时或之后,服务器和客户端共同作用产生随机密钥序列,根据共享密钥表协商会话密钥,不依赖于第三方可信机构。在认证成功后,服务器和客户端定期的进行心跳认证确认通信对方的身份,并周期性地更新共享密钥表保证会话安全。具有强认证性、会话密钥安全性高等优点,且只涉及简单的加乘运算,对设备运算能力要求低。
本发明实施例中提供的身份认证方法可以应用于多个服务器与多个客户端之间的身份认证,参见图1所示。在具体的实施例中,为了方便说明只针对单个服务器和单个客户端之间的身份认证情况进行阐述,如图2所示是本发明实施例实现的通信拓扑结构,服务器与客户端可以通过GSM(全球移动通信系统,Global System for Mobile Communication)网络完成数据交互,报文可以以短信的形式在网络中传递。
基于上述思想,参见图3所示,本发明实施例中提供的身份认证方法实施例一可以包括以下步骤:
步骤301:注册阶段,服务器接收客户端发送的客户端固定身份标识信息,并向客户端发送服务器固定身份标识信息、密钥表以及动态身份函数。优选的,服务器还可以建立可更新的客户端认证白名单。首先,服务器和客户端在安全的通信环境下完成注册阶段。固定身份标识信息可以是不同强度的密码,或是只有通信实体自身知道的信息(如设备ID)。例如,在实际应用中,客户端可以产生64比特的随机数Rc,并计算其哈希值作为客户端固定身份标识信息IDc,客户端向服务器提交IDc,发送身份认证请求。
服务器建立密钥表,密钥表可以是M*N的矩阵,M、N均为正整数,M表示矩阵的行数,N表示矩阵的列数。矩阵中的元素均为单字节,由随机数发生器产生。服务器设定动态身份函数f(.),同时产生64bit随机数Rs,计算其哈希值作为服务器固定身份标识信息IDs,将服务器固定身份标识信息IDs、密钥表、动态身份函数f(.)发送给客户端。
动态身份函数是指以随机数作为输入,该随机数关于M的余数作为行号,关于N的余数作为列号,查找密钥表对应行列交叉点的元素作为输出,输出即为动态身份信息。
可更新认证白名单中的内容是指能够唯一确定通信实体身份的信息,如通信实体的用户名,SIM卡号等。服务器将可能会主动发送认证请求的客户端的上述信息储存在客户端认证白名单内,并可以根据实际应用情况实时更新,以保证身份认证过程的安全性。服务器可以向任意客户端发送认证请求,即步骤302中向客户端发送第一随机数的具体实现可以是服务器主动向客户端发送第一随机数;同时,服务器也可以响应客户端认证白名单内的设备发送的认证请求,即步骤302向客户端发送第一随机数的具体实现可以是服务器接收客户端的认证请求,判断客户端是否属于客户端认证白名单,如果是,再向客户端发送第一随机数。
步骤302:服务器向客户端发送第一随机数,以使客户端确定第一动态身份信息,将以第一随机数、第一动态身份信息以及客户端固定身份标识信息为原文计算得到的哈希值作为第一响应信息与第二随机数一起发送给服务器;第一动态身份信息是利用第一随机数、密钥表以及动态身份函数确定的。
在完成注册阶段后,进入身份认证阶段,默认情况下是由服务器主动发送认证请求,即服务器向客户端发送第一随机数R1,客户端利用第一随机数R1可以确定第一动态身份信息,即将第一随机数R1输入动态身份函数f(.),该随机数关于M的余数作为行号,关于N的余数作为列号,查找密钥表对应行列交叉点的元素作为输出,输出即为第一动态身份信息f(R1)。客户端计算以R1、f(R1)和IDc为原文的哈希值H1作为第一响应信息,并产生第二随机数R2发送给服务器。
步骤303:服务器确定第一动态身份信息,计算以第一随机数、第一动态身份信息以及客户端固定身份标识信息为原文的哈希值与第一响应信息进行比较,如果相同,则通过对客户端的认证,如果不同,则认证失败;第一动态身份信息是利用第一随机数、密钥表以及动态身份函数确定的。
同时服务器也计算以R1、f(R1)和IDc为原文的哈希值H1’,与接收到的第一响应信息H1进行比较,其中,服务器确定第一动态身份信息f(R1)的方式与客户端确定第一动态身份信息f(R1)的方式相同。如果H1’和H1比较相同,则服务器完成对客户端的认证,如果不同,则认证失败。
步骤304:服务器在通过对客户端的认证后,确定第二动态身份信息,计算以第二随机数、第二动态身份信息以及服务器固定身份标识信息为原文的哈希值作为第二响应信息发送给客户端,以使客户端确定第二动态身份信息,计算以第二随机数、第二动态身份信息以及服务器固定身份标识信息为原文的哈希值与第二响应信息进行比较,如果相同,则通过对服务器的认证,如果不同,则认证失败;第二动态身份信息是利用第二随机数、密钥表以及动态身份函数确定的。
类似的,服务器确定第二动态身份信息f(R2),即将第二随机数R2输入动态身份函数f(.),输出即为第二动态身份信息f(R2),服务器计算以R2、f(R2)和IDs为原文的哈希值H2作为第二响应信息发送给客户端;同时,客户端也计算以R2、f(R2)和IDs为原文的哈希值H2’,与接收到的第二响应信息H2进行比较,其中,客户端确定第二动态身份信息f(R2)的方式与服务器确定第二动态身份信息f(R2)的方式相同。如果H2’和H2比较相同,则客户端也完成对服务器的认证,实现双向认证,如果不同,则认证失败。
本实施例基于多因子动态口令认证,以校验随机数、动态身份和固定身份标识信息的方式来验证对方的身份,充分保证认证的安全性,计算开销小且实现简单方便。动态身份信息具有灵活可变,防止信息泄露的优点,增加了口令破译难度,提高身份验证的安全性。
基于上述实施例,在完成身份认证过程的同时或之后,还可以进行随机会话密钥协商,在完成身份认证过程之后还可以进行心跳认证以及密钥表内容更新,保证数据通信安全和身份周期性认证,以下分别进行说明。
在本发明的一些实施例中,本发明实施例中提供的身份认证方法还可以包括随机会话密钥协商功能:
服务器生成服务器第一密钥序列参数集发送给客户端,并接收客户端生成的客户端第一密钥序列参数集,以使客户端根据服务器第一密钥序列参数集以及客户端第一密钥序列参数集确定会话密钥。
服务器根据服务器第一密钥序列参数集以及客户端第一密钥序列参数集确定会话密钥。
也即在身份认证阶段同时或之后还可以进行随机会话密钥协商,其中,根据服务器第一密钥序列参数集以及客户端第一密钥序列参数集确定会话密钥的具体实现可以包括:
将服务器第一密钥序列参数集中的元素分别关于密钥表的总行数取余,得到服务器第二密钥序列参数集;将客户端第一密钥序列参数集中的元素分别关于密钥表的总列数取余,得到客户端第二密钥序列参数集。
这样服务器向客户端发送服务器第一密钥序列参数集P1,客户端向服务器发送客户端第一密钥序列参数集Q1,参数集P1关于密钥表的总行数M取余,得到服务器第二密钥序列参数集P1’,参数集Q1关于密钥表的总列数N取余,得到客户端第二密钥序列参数集Q1’。
按服务器第二密钥序列参数集的第一个元素、客户端第二密钥序列参数集的第一个元素,服务器第二密钥序列参数集的第二个元素、客户端第二密钥序列参数集的第二个元素等依次排序构成密钥序列。
密钥序列奇数位置上的数对应密钥表的行,偶数位置上的数对应密钥表的列,每个行列交叉点的值作为密钥中的元素,将这些元素顺序组合得到会话密钥。也就是通过密钥序列参数集的产生、密钥序列确定、会话密钥确定三个阶段确定会话密钥。
另外,也可以直接将服务器第二密钥序列参数集中的元素对应密钥表的行,将客户端第二密钥序列参数集中的元素对应密钥表中的列,按照服务器第二密钥序列参数集中的元素顺序以及客户端第二密钥序列参数集中的元素顺序,查找密钥表中对应的行列交叉点的元素获得会话密钥。
前述过程产生的会话密钥是服务器和客户端共同作用的结果,无需可信第三方认证机构的参与;输入密钥序列的不确定性使得输出会话密钥是不可预知的。不同密钥之间的产生没有必然关联,一个密钥的泄露不会影响其他密钥的正常使用。
在本发明的一些实施例中,本发明实施例中提供的身份认证方法还可以包括心跳认证功能:
服务器接收客户端在通过对服务器的认证后保存并发送的秘密值,并保存秘密值。
每隔第一预设时间,服务器将秘密值加一作为心跳认证值发送给客户端,以使客户端将保存的秘密值加一后与心跳认证值进行比较,如果相同,则将以心跳认证值以及服务器固定身份标识信息为原文计算得到的哈希值作为第三响应信息发送给服务器,并将心跳认证值替换为秘密值,如果不同,则心跳认证失败,断开连接。
服务器计算以心跳认证值以及服务器固定身份标识信息为原文的哈希值与第三响应信息进行比较,如果相同,则将心跳认证值替换为秘密值,如果不同,则心跳认证失败,断开连接。
如果服务器和客户端之间的通信连接一直存在,则服务器每隔第一预设时间可以发起心跳认证。客户端在通过对服务器的认证后可以产生随机数R3作为秘密值X的初值,同时发送给服务器保存。每隔第一预设时间,服务器将X+1发送给客户端,客户端也将保存的X加1后与接收到的值比较,如果相同,则将接收到的值替换为秘密值,即将X替换为X+1,并计算以X+1以及服务器固定身份标识信息IDc为原文的哈希值作为第三响应信息H3发送给服务器;服务器同时计算以X+1以及服务器固定身份标识信息IDc为原文的哈希值H3’,如果H3与H3’相同,则将X替换为X+1,通过心跳认证;如果不同,则心跳认证失败,断开服务器与客户端之间的连接。
心跳认证的过程也是服务器客户端双向认证的过程,充分保证身份认证的安全性。
在本发明的一些实施例中,本发明实施例中提供的身份认证方法还可以包括密钥表更新功能:
每隔第二预设时间,服务器根据第三随机数更新密钥表。
服务器向客户端发送包括第三随机数的密钥表更新命令,以使客户端根据第三随机数更新密钥表,并向服务器发送密钥表更新成功信息。
如果服务器和客户端之间的通信连接一直存在,则每隔第二预设时间可以对密钥表进行更新。
服务器产生随机数R4,计算R4关于M的余数Row,R4关于N的余数Column。将密钥表中第[(Row+i)关于M的余数]行中的数据右移[(Column+i)关于N的余数],i=0,1,2,…,M-1,实现密钥表的行列变换。最后,密钥表中的元素与R4关于0xff的余数进行异或,实现密钥表的更新。
在本发明的一些实施例中,第一随机数、第一响应信息、第二随机数、第二响应信息、服务器第一密钥序列参数集以及客户端第一密钥序列参数集以初始密钥进行加密后进行传输;
秘密值、心跳认证值、第三响应信息、密钥表更新命令以及服务器与客户端之间的通信报文以会话密钥进行加密后进行传输。
即注册过程、身份验证过程、会话密钥协商过程发送的报文以初始密钥进行加密后进行传输,心跳认证过程、密钥表更新过程、正常通信过程发送的报文以协商获得的会话密钥进行加密后进行传输,密钥的更新降低了密钥被破解的概率,有利于提高系统的传输安全。
参见图4所示,以具体实施例再对服务器和客户端之间的注册阶段、身份认证、会话密钥协商过程进行说明,在该实施例中对称加密算法可以选用AES(Advanced Encryption Standard,高级加密标准)算法,哈希函数可以选择SHA256。KeySequence代表产生AES密钥的序列,用缩写KS表示。首先服务器和客户端之间在安全的通信环境下完成注册。
在注册阶段,客户端向服务器提供客户端固定身份标识信息IDc。服务器接收客户端发送的客户端固定身份标识信息IDc,建立密钥表,例如7*8的密钥表,并向客户端发送服务器固定身份标识信息IDs、密钥表以及动态身份函数f(.)。服务器以SIM卡号为识别标识,建立客户端认证白名单。
在默认情况下,由服务器主动发起认证请求,服务器与客户端之间的身份认证以及随机会话密钥协商具体步骤如下:
步骤401:服务器需要与客户端通信,主动发起认证请求。服务器产生32字节的密钥序列KS1,用于确定32字节的密钥Key1,然后再产生32字节的第一随机数R1用AES算法产生的密钥Key1加密R1,发起认证请求。
步骤402:客户端根据接收到的KS1,获取密钥Key1,解密得R1,计算以R1、第一动态身份信息f(R1)和客户端固定身份标识信息IDc为原文的哈希值H1,并产生32字节的第二随机数R2,具有32个参数的服务器第一密钥序列参数集P1,使用Key1加密H1、R2、P1,发送给服务器。
步骤403:服务器计算以R1、第一动态身份信息f(R1)和客户端固定身份标识信息IDc为原文的哈希值H1’,比较H1和H1’是否相等。若相等,计算以R2、第二动态身份信息f(R2)和服务器固定身份标识信息IDs为原文的哈希值H2,产生具有32个参数的客户端第一密钥序列参数集Q1,用Key1加密发送给客户端。假设密钥表为7*8的矩阵,将参数集P1中的所有元素对7取余,得到参数集P1’;参数集Q1中的所有元素对8取余,得到参数集Q1’。按P1’的第一个元素、Q1’的第一个元素,P1’的第二个元素、Q1’的第二个元素的顺序依次排序构成密钥序列KS2。KS2奇数位置上的数对应密钥表的行,偶数位置上的数对应密钥表的列,依次取出行列交叉点的元素得到会话密钥Key2,此时服务器完成对客户端的认证。若不相等,终止认证。
步骤404:客户端计算以R2、第二动态身份信息f(R2)和服务器固定身份标识信息IDs为原文的哈希值H2’,比较H2和H2’是否相等;若相等,则产生随机数R3作为秘密值X的初值。同时,按照步骤403中的方法,获得会话密钥Key2加密R3,发送认证成功报文给服务器;此时,客户端完成对服务器的认证;若不相等,终止认证。
步骤405:服务器用Key2解密,获得R3,用于后续的心跳认证,并将客户端添加到通信白名单内。
而当客户端需要主动向服务器上传数据时,客户端发送客户端认证请求报文,该报文的格式如下表所示,0xCC表示设备类型为客户端,0xCE表示报文类型为客户端认证请求报文,0x03标识该报文长度为3:
| 设备类型 | 报文类型 | 报文长度 |
| 0xCC | 0xCE | 0x03 |
服务器接收到该认证请求报文后,判断客户端的SIM卡号是否在客户端认证白名单内,若是则按照步骤401~步骤405执行;若不是,则不予理会该客户端的认证请求报文。
若服务器和客户端之间的通信连接一直存在,则服务器可以每隔两个小时发起心跳认证,在实际应用中,心跳认证过程具体步骤参见图5所示:
步骤501:服务器将X加1后,发送给客户端,发起心跳认证请求。X的初值为上述实施例中的随机数R3。
步骤502:客户端将自身数据库中的X加1后与接收到的值比较,若一致,则用该值代替原本的X,并计算以该值与服务器固定身份标识信息IDs为原文的哈希值H3,返回给服务器。
步骤503:服务器计算以加1后的X与服务器固定身份标识信息IDs为原文的哈希值H3’,比较H3和H3’是否一致。若一致,则用X+1替换X,心跳认证完成;若不一致,则断开连接。本实施例中发送的报文均以会话密钥Key2进行加密。
若服务器和客户端之间的连接一直存在,则每隔10个小时,服务器和客户端需要更新数据库中的密钥表。
服务器产生随机数R4,计算R4关于M的余数Row,R4关于N的余数Column。将密钥表中第[(Row+i)关于M的余数]行中的数据右移[(Column+i)关于N的余数],i=0,1,2,…,M-1,实现密钥表的行列变换。最后,密钥表中的元素与R4关于0xff的余数进行异或,实现密钥表的更新。
例如,有M*N=7*8的密钥表,如下表所示:
假设随机数R4=17,R4关于M的余数Row=17%7=3,R4关于N的余数Column=17%8=1。当i=0,第(Row+i)%7行,即第3行,右移(Column+i)%8,即右移1,即密钥表变为:
当i=1,第(Row+i)%7行,即第4行,右移(Column+i)%8,即右移2,以此类推,第5行,右移3,第6行,右移4,第0行,右移5,第1行,右移6,第2行,右移7。行列转换结束后,求得随机数R4关于0xff的余数为RE,即R4关于255的余数,将密钥表中的所有元素与RE异或,从而完成密钥表的更新。
这样,本发明实施例提供的身份认证方法,由服务器完成对客户端的身份认证同时客户端也对服务器进行身份认证,网络通信设备间双向身份认证有效抵御数据篡改、中间人攻击、服务器伪造攻击等;同时,根据随机数、动态身份信息以及固定身份标识信息,判断并动态验证通信实体身份,可以充分确定通信实体身份的真实性,且只涉及简单的加乘运算,对设备运算能力要求低;认证结束时,对密钥进行更新,区分认证过程和正常数据交互过程所使用的密钥,提高安全性;另外,具有会话密钥协商、心跳认证功能,根据共享密钥表协商会话密钥,不依赖于第三方可信机构的参与,实现简单方便,且密钥具有动态性、新鲜性、前向保密性的特征,心跳认证确保了数据交互过程中通信实体身份有效的可靠性,保证会话安全。
相应的,参见图6所示,本发明实施例中,还提供一种身份认证系统实施例,可以包括:
服务器601以及客户端602。
服务器601可以用于向客户端发送服务器固定身份标识信息、密钥表以及动态身份函数;向客户端发送第一随机数;确定第一动态身份信息,计算以第一随机数、第一动态身份信息以及客户端固定身份标识信息为原文的哈希值与第一响应信息进行比较,如果相同,则通过对客户端的认证,如果不同,则认证失败;第一动态身份信息是利用第一随机数、密钥表以及动态身份函数确定的;在通过对客户端的认证后,确定第二动态身份信息,计算以第二随机数、第二动态身份信息以及服务器固定身份标识信息为原文的哈希值作为第二响应信息发送给客户端;第二动态身份信息是利用第二随机数、密钥表以及动态身份函数确定的。
客户端602可以用于向服务器发送客户端固定身份标识信息;确定第一动态身份信息,将以第一随机数、第一动态身份信息以及客户端固定身份标识信息为原文计算得到的哈希值作为第一响应信息与第二随机数一起发送给服务器;第一动态身份信息是利用第一随机数、密钥表以及动态身份函数确定的;确定第二动态身份信息,计算以第二随机数、第二动态身份信息以及服务器固定身份标识信息为原文的哈希值与第二响应信息进行比较,如果相同,则通过对服务器的认证,如果不同,则认证失败;第二动态身份信息是利用第二随机数、密钥表以及动态身份函数确定的。
在本发明的一些实施例中,服务器601还可以用于:生成服务器第一密钥序列参数集发送给客户端,并接收客户端生成的客户端第一密钥序列参数集,根据服务器第一密钥序列参数集以及客户端第一密钥序列参数集确定会话密钥。
客户端602还可以用于:生成客户端第一密钥序列参数集发送给服务器,并接收服务器生成的服务器第一密钥序列参数集,根据服务器第一密钥序列参数集以及客户端第一密钥序列参数集确定会话密钥。
其中,根据服务器第一密钥序列参数集以及客户端第一密钥序列参数集确定会话密钥的具体实现可以包括:
将服务器第一密钥序列参数集中的元素分别关于密钥表的总行数取余,得到服务器第二密钥序列参数集;将客户端第一密钥序列参数集中的元素分别关于密钥表的总列数取余,得到客户端第二密钥序列参数集。
将服务器第二密钥序列参数集中的元素对应密钥表的行,将客户端第二密钥序列参数集中的元素对应密钥表中的列,按照服务器第二密钥序列参数集中的元素顺序以及客户端第二密钥序列参数集中的元素顺序,查找密钥表中对应的行列交叉点的元素组成会话密钥。
在本发明的一些实施例中,服务器601还可以用于:接收客户端在通过对服务器的认证后保存并发送的秘密值,并保存秘密值;每隔第一预设时间,将秘密值加一作为心跳认证值发送给客户端;计算以心跳认证值以及服务器固定身份标识信息为原文的哈希值与第三响应信息进行比较,如果相同,则将心跳认证值替换为秘密值,如果不同,则心跳认证失败,断开连接。
客户端602还可以用于:在通过对服务器的认证后向服务器发送秘密值,并保存秘密值;将保存的秘密值加一后与心跳认证值进行比较,如果相同,则将以心跳认证值以及服务器固定身份标识信息为原文计算得到的哈希值作为第三响应信息发送给服务器,并将心跳认证值替换为秘密值,如果不同,则心跳认证失败,断开连接。
在本发明的一些实施例中,服务器601还可以用于:每隔第二预设时间,根据第三随机数更新密钥表;向客户端发送包括第三随机数的密钥表更新命令。
客户端602还可以用于:根据第三随机数更新密钥表,并向服务器发送密钥表更新成功信息。
在本发明的一些实施例中,服务器601还可以用于:建立客户端认证白名单;则服务器向客户端发送第一随机数的具体实现可以包括:
服务器主动向客户端发送第一随机数;或者,服务器接收客户端的认证请求,判断客户端是否属于客户端认证白名单,如果是,向客户端发送第一随机数。
在本发明的一些实施例中,第一随机数、第一响应信息、第二随机数、第二响应信息、服务器第一密钥序列参数集以及客户端第一密钥序列参数集以初始密钥进行加密后进行传输;秘密值、心跳认证值、第三响应信息、密钥表更新命令以及服务器与客户端之间的通信报文以会话密钥进行加密后进行传输。
这样,本发明实施例提供的身份认证方法,由服务器完成对客户端的身份认证同时客户端也对服务器进行身份认证,网络通信设备间双向身份认证有效抵御数据篡改、中间人攻击、服务器伪造攻击等;同时,根据随机数、动态身份信息以及固定身份标识信息,判断并动态验证通信实体身份,可以充分确定通信实体身份的真实性,且只涉及简单的加乘运算,对设备运算能力要求低;认证结束时,对密钥进行更新,区分认证过程和正常数据交互过程所使用的密钥,提高安全性;另外,具有会话密钥协商、心跳认证功能,根据共享密钥表协商会话密钥,不依赖于第三方可信机构的参与,实现简单方便,且密钥具有动态性、新鲜性、前向保密性的特征,心跳认证确保了数据交互过程中通信实体身份有效的可靠性,保证会话安全。
需要说明的是,本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统或装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (12)
1.一种身份认证方法,其特征在于,服务器接收客户端发送的客户端固定身份标识信息,并向所述客户端发送服务器固定身份标识信息、密钥表以及动态身份函数,所述方法包括:
所述服务器向所述客户端发送第一随机数,以使所述客户端确定第一动态身份信息,将以所述第一随机数、所述第一动态身份信息以及所述客户端固定身份标识信息为原文计算得到的哈希值作为第一响应信息与第二随机数一起发送给所述服务器;所述服务器确定第一动态身份信息,计算以所述第一随机数、所述第一动态身份信息以及所述客户端固定身份标识信息为原文的哈希值与所述第一响应信息进行比较,如果相同,则通过对所述客户端的认证,如果不同,则认证失败;所述第一动态身份信息是利用所述第一随机数、所述密钥表以及所述动态身份函数确定的;
所述服务器在通过对所述客户端的认证后,确定第二动态身份信息,计算以所述第二随机数、所述第二动态身份信息以及所述服务器固定身份标识信息为原文的哈希值作为第二响应信息发送给所述客户端,以使所述客户端确定第二动态身份信息,计算以所述第二随机数、所述第二动态身份信息以及所述服务器固定身份标识信息为原文的哈希值与所述第二响应信息进行比较,如果相同,则通过对所述服务器的认证,如果不同,则认证失败;所述第二动态身份信息是利用所述第二随机数、所述密钥表以及所述动态身份函数确定的。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述服务器生成服务器第一密钥序列参数集发送给所述客户端,并接收所述客户端生成的客户端第一密钥序列参数集,以使所述客户端根据所述服务器第一密钥序列参数集以及所述客户端第一密钥序列参数集确定会话密钥;
所述服务器根据所述服务器第一密钥序列参数集以及所述客户端第一密钥序列参数集确定会话密钥;
所述根据所述服务器第一密钥序列参数集以及所述客户端第一密钥序列参数集确定会话密钥,包括:
将所述服务器第一密钥序列参数集中的元素分别关于所述密钥表的总行数取余,得到服务器第二密钥序列参数集;将所述客户端第一密钥序列参数集中的元素分别关于所述密钥表的总列数取余,得到客户端第二密钥序列参数集;
将所述服务器第二密钥序列参数集中的元素对应所述密钥表的行,将所述客户端第二密钥序列参数集中的元素对应所述密钥表中的列,按照所述服务器第二密钥序列参数集中的元素顺序以及所述客户端第二密钥序列参数集中的元素顺序,查找所述密钥表中对应的行列交叉点的元素组成会话密钥。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述服务器接收所述客户端在通过对所述服务器的认证后保存并发送的秘密值,并保存所述秘密值;
每隔第一预设时间,所述服务器将所述秘密值加一作为心跳认证值发送给所述客户端,以使所述客户端将保存的所述秘密值加一后与所述心跳认证值进行比较,如果相同,则将以所述心跳认证值以及所述服务器固定身份标识信息为原文计算得到的哈希值作为第三响应信息发送给所述服务器,并将所述心跳认证值替换为所述秘密值,如果不同,则心跳认证失败,断开连接;
所述服务器计算以所述心跳认证值以及所述服务器固定身份标识信息为原文的哈希值与所述第三响应信息进行比较,如果相同,则将所述心跳认证值替换为所述秘密值,如果不同,则心跳认证失败,断开连接。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
每隔第二预设时间,所述服务器根据第三随机数更新密钥表;
所述服务器向所述客户端发送包括第三随机数的密钥表更新命令,以使所述客户端根据第三随机数更新密钥表,并向所述服务器发送密钥表更新成功信息。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述服务器建立客户端认证白名单;
所述服务器向所述客户端发送第一随机数,包括:
所述服务器主动向所述客户端发送第一随机数;
或者,所述服务器接收客户端的认证请求,判断所述客户端是否属于客户端认证白名单,如果是,向所述客户端发送第一随机数。
6.根据权利要求2-5任一项所述的方法,其特征在于,
所述第一随机数、所述第一响应信息、所述第二随机数、所述第二响应信息、所述服务器第一密钥序列参数集以及所述客户端第一密钥序列参数集以初始密钥进行加密后进行传输;
所述秘密值、所述心跳认证值、所述第三响应信息、密钥表更新命令以及所述服务器与所述客户端之间的通信报文以所述会话密钥进行加密后进行传输。
7.一种身份认证系统,其特征在于,所述系统包括:
服务器以及客户端;
所述服务器用于向所述客户端发送服务器固定身份标识信息、密钥表以及动态身份函数;向所述客户端发送第一随机数;确定第一动态身份信息,计算以所述第一随机数、所述第一动态身份信息以及所述客户端固定身份标识信息为原文的哈希值与所述第一响应信息进行比较,如果相同,则通过对所述客户端的认证,如果不同,则认证失败;所述第一动态身份信息是利用所述第一随机数、所述密钥表以及所述动态身份函数确定的;在通过对所述客户端的认证后,确定第二动态身份信息,计算以所述第二随机数、所述第二动态身份信息以及所述服务器固定身份标识信息为原文的哈希值作为第二响应信息发送给所述客户端;所述第二动态身份信息是利用所述第二随机数、所述密钥表以及所述动态身份函数确定的;
所述客户端用于向所述服务器发送客户端固定身份标识信息;确定第一动态身份信息,将以所述第一随机数、所述第一动态身份信息以及所述客户端固定身份标识信息为原文计算得到的哈希值作为第一响应信息与第二随机数一起发送给所述服务器;所述第一动态身份信息是利用所述第一随机数、所述密钥表以及所述动态身份函数确定的;确定第二动态身份信息,计算以所述第二随机数、所述第二动态身份信息以及所述服务器固定身份标识信息为原文的哈希值与所述第二响应信息进行比较,如果相同,则通过对所述服务器的认证,如果不同,则认证失败;所述第二动态身份信息是利用所述第二随机数、所述密钥表以及所述动态身份函数确定的。
8.根据权利要求7所述的系统,其特征在于,
所述服务器还用于:
生成服务器第一密钥序列参数集发送给所述客户端,并接收所述客户端生成的客户端第一密钥序列参数集,根据所述服务器第一密钥序列参数集以及所述客户端第一密钥序列参数集确定会话密钥;
所述客户端还用于:
生成客户端第一密钥序列参数集发送给所述服务器,并接收所述服务器生成的服务器第一密钥序列参数集,根据所述服务器第一密钥序列参数集以及所述客户端第一密钥序列参数集确定会话密钥;
所述根据所述服务器第一密钥序列参数集以及所述客户端第一密钥序列参数集确定会话密钥,包括:
将所述服务器第一密钥序列参数集中的元素分别关于所述密钥表的总行数取余,得到服务器第二密钥序列参数集;将所述客户端第一密钥序列参数集中的元素分别关于所述密钥表的总列数取余,得到客户端第二密钥序列参数集;
将所述服务器第二密钥序列参数集中的元素对应所述密钥表的行,将所述客户端第二密钥序列参数集中的元素对应所述密钥表中的列,按照所述服务器第二密钥序列参数集中的元素顺序以及所述客户端第二密钥序列参数集中的元素顺序,查找所述密钥表中对应的行列交叉点的元素组成会话密钥。
9.根据权利要求7所述的系统,其特征在于,
所述服务器还用于:
接收所述客户端在通过对所述服务器的认证后保存并发送的秘密值,并保存所述秘密值;每隔第一预设时间,将所述秘密值加一作为心跳认证值发送给所述客户端;计算以所述心跳认证值以及所述服务器固定身份标识信息为原文的哈希值与第三响应信息进行比较,如果相同,则将所述心跳认证值替换为所述秘密值,如果不同,则心跳认证失败,断开连接;
所述客户端还用于:
在通过对所述服务器的认证后向所述服务器发送秘密值,并保存所述秘密值;将保存的所述秘密值加一后与所述心跳认证值进行比较,如果相同,则将以所述心跳认证值以及所述服务器固定身份标识信息为原文计算得到的哈希值作为第三响应信息发送给所述服务器,并将所述心跳认证值替换为所述秘密值,如果不同,则心跳认证失败,断开连接。
10.根据权利要求7所述的系统,其特征在于,
所述服务器还用于:
每隔第二预设时间,根据第三随机数更新密钥表;向所述客户端发送包括第三随机数的密钥表更新命令;
所述客户端还用于:
根据第三随机数更新密钥表,并向所述服务器发送密钥表更新成功信息。
11.根据权利要求7所述的系统,其特征在于,所述服务器还用于:
建立客户端认证白名单;
所述服务器向所述客户端发送第一随机数,包括:
所述服务器主动向所述客户端发送第一随机数;
或者,所述服务器接收客户端的认证请求,判断所述客户端是否属于客户端认证白名单,如果是,向所述客户端发送第一随机数。
12.根据权利要求8-11所述的系统,其特征在于,
所述第一随机数、所述第一响应信息、所述第二随机数、所述第二响应信息、所述服务器第一密钥序列参数集以及所述客户端第一密钥序列参数集以初始密钥进行加密后进行传输;
所述秘密值、所述心跳认证值、所述第三响应信息、密钥表更新命令以及所述服务器与所述客户端之间的通信报文以所述会话密钥进行加密后进行传输。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510067587.2A CN104579694B (zh) | 2015-02-09 | 2015-02-09 | 一种身份认证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510067587.2A CN104579694B (zh) | 2015-02-09 | 2015-02-09 | 一种身份认证方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104579694A true CN104579694A (zh) | 2015-04-29 |
| CN104579694B CN104579694B (zh) | 2018-09-14 |
Family
ID=53094973
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510067587.2A Active CN104579694B (zh) | 2015-02-09 | 2015-02-09 | 一种身份认证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104579694B (zh) |
Cited By (48)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105282168A (zh) * | 2015-11-06 | 2016-01-27 | 盛趣信息技术(上海)有限公司 | 基于chap协议的数据交互方法及装置 |
| CN105450657A (zh) * | 2015-12-16 | 2016-03-30 | 广州天懋信息系统有限公司 | 基于预设值和动态验证码组合的动态口令认证方法及系统 |
| CN105471845A (zh) * | 2015-11-16 | 2016-04-06 | 数据通信科学技术研究所 | 防止中间人攻击的通信方法及系统 |
| CN105721441A (zh) * | 2016-01-22 | 2016-06-29 | 华中科技大学 | 一种虚拟化环境下身份认证方法 |
| CN105825383A (zh) * | 2016-03-18 | 2016-08-03 | 桂林电子科技大学 | 双方参与的随机数生成和验证方法 |
| CN105871915A (zh) * | 2016-06-07 | 2016-08-17 | 得理电子(上海)有限公司 | 软件的网络认证绑定方法和系统 |
| CN106027548A (zh) * | 2016-06-28 | 2016-10-12 | 武汉斗鱼网络科技有限公司 | 视频直播网站基于页面心跳事件生成白名单的系统及方法 |
| CN106209756A (zh) * | 2015-06-01 | 2016-12-07 | 华为技术有限公司 | 口令更新方法、用户设备、用户位置服务器及域路由器 |
| CN106330432A (zh) * | 2016-08-31 | 2017-01-11 | 北京盛世光明软件股份有限公司 | 一种基于des加密算法的加密方法 |
| CN106453269A (zh) * | 2016-09-21 | 2017-02-22 | 东软集团股份有限公司 | 车联网安全通信方法、车载终端、服务器及系统 |
| CN106656907A (zh) * | 2015-10-28 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 用于认证的方法、装置、终端设备及系统 |
| CN107046529A (zh) * | 2017-01-05 | 2017-08-15 | 同济大学 | 一种基于hash加密的车路协同安全通信方法 |
| CN107294909A (zh) * | 2016-04-04 | 2017-10-24 | 汪风珍 | 一种电子身份实名认证的产品和方法 |
| WO2017193750A1 (zh) * | 2016-05-13 | 2017-11-16 | 阿里巴巴集团控股有限公司 | 一种防止拷贝攻击的处理方法、服务器及客户端 |
| CN107437996A (zh) * | 2016-05-27 | 2017-12-05 | 宇龙计算机通信科技(深圳)有限公司 | 一种身份认证的方法、装置及终端 |
| CN107508686A (zh) * | 2017-10-18 | 2017-12-22 | 克洛斯比尔有限公司 | 身份认证方法和系统以及计算设备和存储介质 |
| CN107507434A (zh) * | 2016-06-14 | 2017-12-22 | 北京数码视讯科技股份有限公司 | 一种交通控制方法、装置及交通管理系统 |
| CN107682152A (zh) * | 2017-10-31 | 2018-02-09 | 洛阳师范学院 | 一种基于对称密码的群组密钥协商方法 |
| CN108243197A (zh) * | 2018-01-31 | 2018-07-03 | 北京深思数盾科技股份有限公司 | 一种数据分发、转发方法及装置 |
| CN108370319A (zh) * | 2015-12-04 | 2018-08-03 | 维萨国际服务协会 | 用于令牌验证的唯一性代码 |
| CN109214159A (zh) * | 2018-08-31 | 2019-01-15 | 武汉文楚智信科技有限公司 | 一种用于终端人脸识别云服务的用户信息保护系统和方法 |
| CN109586921A (zh) * | 2018-12-14 | 2019-04-05 | 飞天诚信科技股份有限公司 | 一种实现动态口令的方法及系统 |
| CN109803305A (zh) * | 2019-01-17 | 2019-05-24 | 江苏保旺达软件技术有限公司 | 一种无线电台站远程监测方法及系统 |
| CN110034926A (zh) * | 2019-03-08 | 2019-07-19 | 平安科技(深圳)有限公司 | 物联网动态密码的生成及验证方法、系统和计算机设备 |
| CN110085036A (zh) * | 2019-05-30 | 2019-08-02 | 捷德(中国)信息科技有限公司 | 一种套牌识别方法、车牌拆卸识别方法和电子车牌 |
| CN110098915A (zh) * | 2018-01-30 | 2019-08-06 | 阿里巴巴集团控股有限公司 | 认证方法及系统、终端 |
| CN110138711A (zh) * | 2018-02-09 | 2019-08-16 | 北京京东尚科信息技术有限公司 | 一种用于注册的方法和装置 |
| CN110166226A (zh) * | 2018-02-12 | 2019-08-23 | 北京京东尚科信息技术有限公司 | 一种生成秘钥的方法和装置 |
| CN110275695A (zh) * | 2019-04-25 | 2019-09-24 | 武汉众邦银行股份有限公司 | 非重复随机码生成方法、设备、存储介质及装置 |
| CN110392998A (zh) * | 2017-05-09 | 2019-10-29 | 华为技术有限公司 | 一种数据包校验方法及设备 |
| CN110868374A (zh) * | 2018-08-27 | 2020-03-06 | 京东方科技集团股份有限公司 | 安全认证方法、服务器及客户端设备 |
| CN111090850A (zh) * | 2018-10-24 | 2020-05-01 | 杭州海康威视系统技术有限公司 | 一种认证系统、方法及装置 |
| CN111279343A (zh) * | 2017-08-16 | 2020-06-12 | 惠普发展公司,有限责任合伙企业 | 存储装置监视 |
| CN111294388A (zh) * | 2020-01-16 | 2020-06-16 | 中国平安人寿保险股份有限公司 | 配置文件的生成方法、装置、设备及存储介质 |
| CN111343129A (zh) * | 2018-12-19 | 2020-06-26 | 杭州萤石软件有限公司 | 一种防御协议组网被破解的方法和设备 |
| CN111586055A (zh) * | 2020-05-09 | 2020-08-25 | 天合光能股份有限公司 | 储能系统基于des随机令牌实现通讯安全的方法 |
| US10841800B2 (en) | 2017-04-19 | 2020-11-17 | Alibaba Group Holding Limited | System and method for wireless screen projection |
| CN112333152A (zh) * | 2020-10-13 | 2021-02-05 | 西安电子科技大学 | 双向认证方法、系统、介质、计算机设备、终端及应用 |
| CN112489389A (zh) * | 2020-12-07 | 2021-03-12 | 中广核研究院有限公司 | 一种核电站报警系统及报警方法 |
| US10951614B2 (en) | 2017-03-30 | 2021-03-16 | Alibaba Group Holding Limited | Method and system for network security |
| CN112564901A (zh) * | 2020-12-08 | 2021-03-26 | 浙江三维万易联科技有限公司 | 密钥的生成方法和系统、存储介质及电子装置 |
| US10985913B2 (en) | 2017-03-28 | 2021-04-20 | Alibaba Group Holding Limited | Method and system for protecting data keys in trusted computing |
| CN112910933A (zh) * | 2021-05-07 | 2021-06-04 | 鹏城实验室 | 认证方法、认证设备以及验证设备 |
| US11038852B2 (en) | 2019-02-08 | 2021-06-15 | Alibaba Group Holding Limited | Method and system for preventing data leakage from trusted network to untrusted network |
| CN113660285A (zh) * | 2021-08-31 | 2021-11-16 | 成都卫士通信息产业股份有限公司 | 多媒体会议在网终端管控方法、装置、设备及存储介质 |
| US11245530B2 (en) | 2018-01-03 | 2022-02-08 | Alibaba Group Holding Limited | System and method for secure communication |
| US11258610B2 (en) | 2018-10-12 | 2022-02-22 | Advanced New Technologies Co., Ltd. | Method and mobile terminal of sharing security application in mobile terminal |
| CN114726558A (zh) * | 2020-12-21 | 2022-07-08 | 航天信息股份有限公司 | 认证方法、装置、电子设备和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101047978A (zh) * | 2006-03-27 | 2007-10-03 | 华为技术有限公司 | 对用户设备中的密钥进行更新的方法 |
| CN101500232A (zh) * | 2009-03-13 | 2009-08-05 | 北京华大智宝电子系统有限公司 | 实现动态身份认证的方法及系统 |
| CN102624528A (zh) * | 2012-03-02 | 2012-08-01 | 中国人民解放军总参谋部第六十一研究所 | 一种基于身份的认证密钥协商方法 |
| CN102916968A (zh) * | 2012-10-29 | 2013-02-06 | 北京天诚盛业科技有限公司 | 身份认证方法、身份认证服务器和身份认证装置 |
-
2015
- 2015-02-09 CN CN201510067587.2A patent/CN104579694B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101047978A (zh) * | 2006-03-27 | 2007-10-03 | 华为技术有限公司 | 对用户设备中的密钥进行更新的方法 |
| CN101500232A (zh) * | 2009-03-13 | 2009-08-05 | 北京华大智宝电子系统有限公司 | 实现动态身份认证的方法及系统 |
| CN102624528A (zh) * | 2012-03-02 | 2012-08-01 | 中国人民解放军总参谋部第六十一研究所 | 一种基于身份的认证密钥协商方法 |
| CN102916968A (zh) * | 2012-10-29 | 2013-02-06 | 北京天诚盛业科技有限公司 | 身份认证方法、身份认证服务器和身份认证装置 |
Cited By (81)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106209756A (zh) * | 2015-06-01 | 2016-12-07 | 华为技术有限公司 | 口令更新方法、用户设备、用户位置服务器及域路由器 |
| CN106209756B (zh) * | 2015-06-01 | 2019-08-13 | 华为技术有限公司 | 口令更新方法、用户设备、用户位置服务器及域路由器 |
| CN106656907B (zh) * | 2015-10-28 | 2021-03-02 | 阿里巴巴集团控股有限公司 | 用于认证的方法、装置、终端设备及系统 |
| CN106656907A (zh) * | 2015-10-28 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 用于认证的方法、装置、终端设备及系统 |
| CN105282168A (zh) * | 2015-11-06 | 2016-01-27 | 盛趣信息技术(上海)有限公司 | 基于chap协议的数据交互方法及装置 |
| CN105282168B (zh) * | 2015-11-06 | 2019-02-05 | 盛趣信息技术(上海)有限公司 | 基于chap协议的数据交互方法及装置 |
| CN105471845B (zh) * | 2015-11-16 | 2018-10-19 | 数据通信科学技术研究所 | 防止中间人攻击的通信方法及系统 |
| CN105471845A (zh) * | 2015-11-16 | 2016-04-06 | 数据通信科学技术研究所 | 防止中间人攻击的通信方法及系统 |
| CN108370319B (zh) * | 2015-12-04 | 2021-08-17 | 维萨国际服务协会 | 用于令牌验证的方法及计算机 |
| US11127016B2 (en) | 2015-12-04 | 2021-09-21 | Visa International Service Association | Unique code for token verification |
| CN108370319A (zh) * | 2015-12-04 | 2018-08-03 | 维萨国际服务协会 | 用于令牌验证的唯一性代码 |
| CN105450657A (zh) * | 2015-12-16 | 2016-03-30 | 广州天懋信息系统有限公司 | 基于预设值和动态验证码组合的动态口令认证方法及系统 |
| CN105721441B (zh) * | 2016-01-22 | 2020-06-02 | 华中科技大学 | 一种虚拟化环境下身份认证方法 |
| CN105721441A (zh) * | 2016-01-22 | 2016-06-29 | 华中科技大学 | 一种虚拟化环境下身份认证方法 |
| CN105825383A (zh) * | 2016-03-18 | 2016-08-03 | 桂林电子科技大学 | 双方参与的随机数生成和验证方法 |
| CN107294909A (zh) * | 2016-04-04 | 2017-10-24 | 汪风珍 | 一种电子身份实名认证的产品和方法 |
| WO2017193750A1 (zh) * | 2016-05-13 | 2017-11-16 | 阿里巴巴集团控股有限公司 | 一种防止拷贝攻击的处理方法、服务器及客户端 |
| US10887343B2 (en) | 2016-05-13 | 2021-01-05 | Advanced New Technologies Co., Ltd. | Processing method for preventing copy attack, and server and client |
| TWI669626B (zh) * | 2016-05-13 | 2019-08-21 | 香港商阿里巴巴集團服務有限公司 | 防止拷貝攻擊的處理方法、伺服器及用戶端 |
| US10999321B2 (en) | 2016-05-13 | 2021-05-04 | Advanced New Technologies Co., Ltd. | Processing method for preventing copy attack, and server and client |
| EP3457309A4 (en) * | 2016-05-13 | 2019-04-17 | Alibaba Group Holding Limited | PROCESSING METHOD FOR PRESENTING COPY ATTACK, SERVER AND CUSTOMER |
| CN107368737A (zh) * | 2016-05-13 | 2017-11-21 | 阿里巴巴集团控股有限公司 | 一种防止拷贝攻击的处理方法、服务器及客户端 |
| CN107437996A (zh) * | 2016-05-27 | 2017-12-05 | 宇龙计算机通信科技(深圳)有限公司 | 一种身份认证的方法、装置及终端 |
| CN107437996B (zh) * | 2016-05-27 | 2020-02-21 | 宇龙计算机通信科技(深圳)有限公司 | 一种身份认证的方法、装置及终端 |
| CN105871915A (zh) * | 2016-06-07 | 2016-08-17 | 得理电子(上海)有限公司 | 软件的网络认证绑定方法和系统 |
| CN107507434A (zh) * | 2016-06-14 | 2017-12-22 | 北京数码视讯科技股份有限公司 | 一种交通控制方法、装置及交通管理系统 |
| CN106027548A (zh) * | 2016-06-28 | 2016-10-12 | 武汉斗鱼网络科技有限公司 | 视频直播网站基于页面心跳事件生成白名单的系统及方法 |
| CN106027548B (zh) * | 2016-06-28 | 2019-05-17 | 武汉斗鱼网络科技有限公司 | 视频直播网站基于页面心跳事件生成白名单的系统及方法 |
| CN106330432A (zh) * | 2016-08-31 | 2017-01-11 | 北京盛世光明软件股份有限公司 | 一种基于des加密算法的加密方法 |
| CN106453269A (zh) * | 2016-09-21 | 2017-02-22 | 东软集团股份有限公司 | 车联网安全通信方法、车载终端、服务器及系统 |
| CN106453269B (zh) * | 2016-09-21 | 2021-06-25 | 东软集团股份有限公司 | 车联网安全通信方法、车载终端、服务器及系统 |
| CN107046529B (zh) * | 2017-01-05 | 2020-03-24 | 同济大学 | 一种基于hash加密的车路协同安全通信方法 |
| CN107046529A (zh) * | 2017-01-05 | 2017-08-15 | 同济大学 | 一种基于hash加密的车路协同安全通信方法 |
| US10985913B2 (en) | 2017-03-28 | 2021-04-20 | Alibaba Group Holding Limited | Method and system for protecting data keys in trusted computing |
| US10951614B2 (en) | 2017-03-30 | 2021-03-16 | Alibaba Group Holding Limited | Method and system for network security |
| US10841800B2 (en) | 2017-04-19 | 2020-11-17 | Alibaba Group Holding Limited | System and method for wireless screen projection |
| CN110392998A (zh) * | 2017-05-09 | 2019-10-29 | 华为技术有限公司 | 一种数据包校验方法及设备 |
| US11706618B2 (en) | 2017-05-09 | 2023-07-18 | Huawei Technologies Co., Ltd. | Data packet verification method and device |
| CN111279343A (zh) * | 2017-08-16 | 2020-06-12 | 惠普发展公司,有限责任合伙企业 | 存储装置监视 |
| CN107508686B (zh) * | 2017-10-18 | 2020-07-03 | 克洛斯比尔有限公司 | 身份认证方法和系统以及计算设备和存储介质 |
| WO2019076020A1 (zh) * | 2017-10-18 | 2019-04-25 | 克洛斯比尔有限公司 | 身份认证方法和系统以及计算设备和存储介质 |
| US11336464B2 (en) | 2017-10-18 | 2022-05-17 | Crosbil Ltd. | Identity authentication method and system, as well as computing device and storage medium |
| CN107508686A (zh) * | 2017-10-18 | 2017-12-22 | 克洛斯比尔有限公司 | 身份认证方法和系统以及计算设备和存储介质 |
| CN107682152A (zh) * | 2017-10-31 | 2018-02-09 | 洛阳师范学院 | 一种基于对称密码的群组密钥协商方法 |
| CN107682152B (zh) * | 2017-10-31 | 2020-12-22 | 洛阳师范学院 | 一种基于对称密码的群组密钥协商方法 |
| US11245530B2 (en) | 2018-01-03 | 2022-02-08 | Alibaba Group Holding Limited | System and method for secure communication |
| CN110098915A (zh) * | 2018-01-30 | 2019-08-06 | 阿里巴巴集团控股有限公司 | 认证方法及系统、终端 |
| CN110098915B (zh) * | 2018-01-30 | 2022-09-23 | 阿里巴巴集团控股有限公司 | 认证方法及系统、终端 |
| CN108243197B (zh) * | 2018-01-31 | 2019-03-08 | 北京深思数盾科技股份有限公司 | 一种数据分发、转发方法及装置 |
| CN108243197A (zh) * | 2018-01-31 | 2018-07-03 | 北京深思数盾科技股份有限公司 | 一种数据分发、转发方法及装置 |
| CN110138711A (zh) * | 2018-02-09 | 2019-08-16 | 北京京东尚科信息技术有限公司 | 一种用于注册的方法和装置 |
| CN110166226A (zh) * | 2018-02-12 | 2019-08-23 | 北京京东尚科信息技术有限公司 | 一种生成秘钥的方法和装置 |
| CN110166226B (zh) * | 2018-02-12 | 2023-06-27 | 北京京东尚科信息技术有限公司 | 一种生成秘钥的方法和装置 |
| US11621950B2 (en) | 2018-08-27 | 2023-04-04 | Boe Technology Group Co., Ltd. | Data processing methods, servers, client devices and media for security authentication |
| CN110868374A (zh) * | 2018-08-27 | 2020-03-06 | 京东方科技集团股份有限公司 | 安全认证方法、服务器及客户端设备 |
| CN109214159B (zh) * | 2018-08-31 | 2021-11-02 | 武汉文楚智信科技有限公司 | 一种用于终端人脸识别云服务的用户信息保护系统和方法 |
| CN109214159A (zh) * | 2018-08-31 | 2019-01-15 | 武汉文楚智信科技有限公司 | 一种用于终端人脸识别云服务的用户信息保护系统和方法 |
| US11258610B2 (en) | 2018-10-12 | 2022-02-22 | Advanced New Technologies Co., Ltd. | Method and mobile terminal of sharing security application in mobile terminal |
| CN111090850A (zh) * | 2018-10-24 | 2020-05-01 | 杭州海康威视系统技术有限公司 | 一种认证系统、方法及装置 |
| CN111090850B (zh) * | 2018-10-24 | 2022-05-03 | 杭州海康威视系统技术有限公司 | 一种认证系统、方法及装置 |
| CN109586921A (zh) * | 2018-12-14 | 2019-04-05 | 飞天诚信科技股份有限公司 | 一种实现动态口令的方法及系统 |
| CN111343129A (zh) * | 2018-12-19 | 2020-06-26 | 杭州萤石软件有限公司 | 一种防御协议组网被破解的方法和设备 |
| CN111343129B (zh) * | 2018-12-19 | 2022-06-24 | 杭州萤石软件有限公司 | 一种防御协议组网被破解的方法和设备 |
| CN109803305A (zh) * | 2019-01-17 | 2019-05-24 | 江苏保旺达软件技术有限公司 | 一种无线电台站远程监测方法及系统 |
| CN109803305B (zh) * | 2019-01-17 | 2022-11-01 | 江苏保旺达软件技术有限公司 | 一种无线电台站远程监测方法及系统 |
| US11038852B2 (en) | 2019-02-08 | 2021-06-15 | Alibaba Group Holding Limited | Method and system for preventing data leakage from trusted network to untrusted network |
| CN110034926B (zh) * | 2019-03-08 | 2021-11-05 | 平安科技(深圳)有限公司 | 物联网动态密码的生成及验证方法、系统和计算机设备 |
| CN110034926A (zh) * | 2019-03-08 | 2019-07-19 | 平安科技(深圳)有限公司 | 物联网动态密码的生成及验证方法、系统和计算机设备 |
| CN110275695A (zh) * | 2019-04-25 | 2019-09-24 | 武汉众邦银行股份有限公司 | 非重复随机码生成方法、设备、存储介质及装置 |
| CN110085036A (zh) * | 2019-05-30 | 2019-08-02 | 捷德(中国)信息科技有限公司 | 一种套牌识别方法、车牌拆卸识别方法和电子车牌 |
| CN111294388B (zh) * | 2020-01-16 | 2023-09-29 | 中国平安人寿保险股份有限公司 | 配置文件的生成方法、装置、设备及存储介质 |
| CN111294388A (zh) * | 2020-01-16 | 2020-06-16 | 中国平安人寿保险股份有限公司 | 配置文件的生成方法、装置、设备及存储介质 |
| CN111586055A (zh) * | 2020-05-09 | 2020-08-25 | 天合光能股份有限公司 | 储能系统基于des随机令牌实现通讯安全的方法 |
| CN112333152A (zh) * | 2020-10-13 | 2021-02-05 | 西安电子科技大学 | 双向认证方法、系统、介质、计算机设备、终端及应用 |
| CN112489389A (zh) * | 2020-12-07 | 2021-03-12 | 中广核研究院有限公司 | 一种核电站报警系统及报警方法 |
| CN112564901A (zh) * | 2020-12-08 | 2021-03-26 | 浙江三维万易联科技有限公司 | 密钥的生成方法和系统、存储介质及电子装置 |
| CN112564901B (zh) * | 2020-12-08 | 2023-08-25 | 三维通信股份有限公司 | 密钥的生成方法和系统、存储介质及电子装置 |
| CN114726558A (zh) * | 2020-12-21 | 2022-07-08 | 航天信息股份有限公司 | 认证方法、装置、电子设备和存储介质 |
| CN114726558B (zh) * | 2020-12-21 | 2024-05-28 | 航天信息股份有限公司 | 认证方法、装置、电子设备和存储介质 |
| CN112910933A (zh) * | 2021-05-07 | 2021-06-04 | 鹏城实验室 | 认证方法、认证设备以及验证设备 |
| CN113660285A (zh) * | 2021-08-31 | 2021-11-16 | 成都卫士通信息产业股份有限公司 | 多媒体会议在网终端管控方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104579694B (zh) | 2018-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104579694B (zh) | 一种身份认证方法及系统 | |
| CN109040139B (zh) | 一种基于区块链与智能合约的身份认证系统及方法 | |
| CN110598422A (zh) | 一种基于移动数字证书的可信身份验证系统及方法 | |
| CN113746632B (zh) | 一种物联网系统多级身份认证方法 | |
| CN103095696B (zh) | 一种适用于用电信息采集系统的身份认证和密钥协商方法 | |
| CN102223364B (zh) | 一种访问电子书数据的方法及系统 | |
| US11223486B2 (en) | Digital signature method, device, and system | |
| CN103699920B (zh) | 基于椭圆曲线的射频识别双向认证方法 | |
| Lin et al. | A new strong-password authentication scheme using one-way hash functions | |
| CN102404347A (zh) | 一种基于公钥基础设施的移动互联网接入认证方法 | |
| GB2490483A (en) | Digital signature method generating strong cryptographic parameter form weak security parameter. | |
| CN113630248B (zh) | 一种会话密钥协商方法 | |
| CN108696518B (zh) | 区块链上用户通信加密方法、装置、终端设备及存储介质 | |
| CN105049401A (zh) | 一种基于智能车的安全通信方法 | |
| CN110381055B (zh) | 医疗供应链中的rfid系统隐私保护认证协议方法 | |
| CN113612610B (zh) | 一种会话密钥协商方法 | |
| CN114826656A (zh) | 一种数据链路可信传输方法和系统 | |
| CN114531680B (zh) | 基于量子密钥的轻量化ibc双向身份认证系统及方法 | |
| CN105049434A (zh) | 一种对等网络环境下的身份认证方法与加密通信方法 | |
| CN110383755A (zh) | 网络设备和可信第三方设备 | |
| CN107566393A (zh) | 一种基于受信任证书的动态权限验证系统及方法 | |
| CN112165386A (zh) | 一种基于ecdsa的数据加密方法及系统 | |
| CN102404329A (zh) | 用户终端与虚拟社区平台间交互的认证加密方法 | |
| CN110225028B (zh) | 一种分布式防伪系统及其方法 | |
| Salem et al. | An elliptic curve-based lightweight mutual authentication scheme for secure communication in smart grids |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |